通用部分包括：安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理十個層面。

今天給大家分享的是通用部分【安全區(qū)域邊界】（三級）測評指導書！

8.1.3.1 邊界防護

a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信；

測評對象：

網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件

測評方法：

1、應核查在網絡邊界處是否部署訪問控制設備；

2、應核查設備配置信息是否指定端口進行跨越邊界的網絡通信，指定端口是否配置并啟用了安全策略；

3、應采用其他技術手段（如非法無線網絡設備定位、核查設備配置信息等）核查或測試驗證是否不存在其他未受控端口進行跨越邊界的網絡通信。

b) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制；

測評對象：

終端管理系統或相關設備

測評方法：

1、應核查是否采用技術措施防止非授權設備接入內部網絡；

2、應核查所有路由器和交換機等相關設備閑置端口是否已關閉。

c) 應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制；

測評對象：

終端管理系統或相關設備

測評方法：

應核查是否采用技術措施防止內部用戶存在非法外聯行為。

d) 應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。

測評對象：

網絡拓撲和無線網絡設備

測評方法：

1、應核查無線網絡的部署方式，是否單獨組網后再連接到有限網絡；

2、應核查無線網絡是否通過受控的邊界防護設備接入到內部有線網絡。

8.1.3.2 訪問控制

a) 應在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；

測評對象：

網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件

測評方法：

1、應核查在網絡邊界或區(qū)域之間是否部署訪問控制設備并啟用訪問控制策略；

2、應核查設備的最后一條訪問控制策略是否為禁止所有網絡通信。

b) 應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數量最小化；

測評對象：

網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件

測評方法：

1、應核查是否不存在多余或無效的訪問控制策略；

2、應核查不同的訪問控制策略之間的邏輯關系及前后排列順序是否合理。

c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；

測評對象：

網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件

測評方法：

1、應核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數；

2、應測試驗證訪問控制策略中設定的相關配置參數是否有效。

d) 應能根據會話狀態(tài)信息為進出數據流提供明確的允許/拒絕訪問的能力；

測評對象：

網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件

測評方法：

1、應核查是否采用會話認證等機制為進出數據流提供明確的允許/拒絕訪問的能力；

2、應測試驗證是否為進出數據流提供明確的允許/拒絕訪問的能力。

e) 應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。

測評對象：

第二代防火墻等提供應用層訪問控制功能的設備或相關組件

測評方法：

1、應核查是否部署訪問控制設備并啟用訪問控制策略；

2、應測試驗證設備訪問控制策略是否能夠對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。

8.1.3.3 入侵防范

a) 應在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為；

測評對象：

抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關組件

測評方法：

1、應核查相關系統或組件是否能夠檢測從外部發(fā)起的網絡攻擊行為；

2、應核查相關系統或組件的規(guī)則庫版本或威脅情報庫是否已經更新到最新版本；

3、應核查相關系統或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節(jié)點；

4、應測試驗證相關系統或組件的配置信息或安全策略是否有效。

b) 應在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡攻擊行為；

測評對象：

抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關組件

測評方法：

1、應核查相關系統或組件是否能夠檢測到從內部發(fā)起的網絡攻擊行為；

2、應核查相關系統或組件的規(guī)則庫版本或威脅情報庫是否已經更新到最新版本；

3、應核查相關系統或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節(jié)點；

4、應測試驗證相關系統或組件的配置信息或安全策略是否有效。

c) 應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；

測評對象：

抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關組件

測評方法：

1、應核查是否部署相關系統或組件對新型網絡攻擊進行檢測和分析；

2、應測試驗證是否對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。

d) 當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

測評對象：

抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關組件

測評方法：

1、應核查相關系統或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關內容；

2、應測試驗證相關系統或組件的報警策略是否有效。

8.1.3.4 惡意代碼和垃圾郵件防范

a) 應在關鍵網絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；

測評對象：

防病毒網關和UTM等提供防惡意代碼功能的系統或相關組件

測評方法：

1、應核查在關鍵網絡節(jié)點處是否部署防惡意代碼產品等技術措施；

2、應核查防惡意代碼產品運行是否正常，惡意代碼庫是否已更新到最新；

3、應測試驗證相關系統或組件的安全策略是否有效。

b) 應在關鍵網絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

測評對象：

防垃圾郵件網關等提供防垃圾郵件功能的系統或相關組件

測評方法：

1、應核查在關鍵網絡節(jié)點處是否部署了防垃圾郵件產品等技術措施；

2、應核查防垃圾郵件產品運行是否正常，防垃圾郵件規(guī)則庫是否已經更新到最新；

3、應測試驗證相關系統或組件的安全策略是否有效。

8.1.3.5 安全審計

a) 應在網絡邊界、重要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

測評對象：

綜合安全審計系統等

測評方法：

1、應核查是否部署了綜合安全審計系統或類似功能的系統平臺；

2、應核查安全審計范圍是否覆蓋到每個用戶；

3、應核查是否對重要的用戶行為和重要安全事件進行了審計。

b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

測評對象：

綜合安全審計系統等

測評方法：

應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

c) 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；

測評對象：

綜合安全審計系統等

測評方法：

1、應核查是否采取了技術措施對審計記錄進行保護；

2、應核查是否采取技術措施對審計記錄進行定期備份，并核查其備份策略。

d) 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。

測評對象：

上網行為管理系統或綜合安全審計系統

測評方法：

應核查是否對遠程訪問用戶及互相聯網訪問用戶行為單獨進行審計分析。

8.1.3.6 可信驗證

可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

測評對象：

提供可信驗證的設備或組件、提供集中審計功能的系統

測評方法：

1、應核查是否基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證；

2、應核查是否在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證；

3、應測試驗證當檢測到邊界設備的可信性受到破壞后是否進行報警；

4、應測試驗證結果是否以審計記錄的形式發(fā)送至安全管理中心。